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Datenschutzprobleme bei Spielekonsolen 


Vorbemerkung der Fragesteller 

Nach Medienberichten sieht der Bundesbeauftragte für den Datenschutz und die 
Informationsfreiheit Peter Schaar große Datenschutzprobleme bei der neuen 
Spielkonsole Xbox One der Finna Microsoft. „Die Xbox registriert ständig alle 
möglichen persönlichen Infonnationen über mich. Reaktionsgeschwindigkei- 
ten, meine Lernfähigkeit oder emotionale Zustände. Die werden dann auf einem 
externen Server verarbeitet und möglicherweise sogar an Dritte weitergegeben. 
Ob sie jemals gelöscht werden, karm der Betroffene nicht beeinflussen“, so Peter 
Schaar (vgl. SPIEGEL ONLINE vom 26. Mai 2013). Ferner wird die neue 
Spielkonsole nach aktuellen Informationen zwingend mit einem Kamerasystem 
(Kinect) verbunden sein, das räumliche Information in höchster Qualität erfas- 
sen kann. Die Kamera zeichnet in Full-HD-Auflösung auf und ist dank einer In- 
frarot-Einheit in der Lage, auch bei Dunkelheit aufzunehmen. Auf Basis dieser 
Technik soll es möglich sein, Gesichtsausdrücke, die Drehung einzelner Glied- 
maßen oder ob ein Bein mehr belastet wird als das andere zu erkennen (vgl. 
GameStar Online vom 23. Mai 2013). 

Ein im letzten Jahr bekanntgewordener Patentantrag von Microsoft verdeutlicht 
die mögliche Art der Kinect-Nutzung. Bei Filmdownloads soll die Kamera die 
Personenanzahl vor dem Fernsehgerät erfassen und somit den Abrufpreis nach 
eben dieser Erkenntnis bestimmen (vgl. SPIEGEL ONLINE vom 23. Mai 2013). 
Ein weiterer Patenteintrag Microsofts, der die Dokumentation des Femsehver- 
haltens der Nutzerinnen und Nutzer ermöglichen soll, um danach ein Beloh- 
nungssystem ausrichten zu können, zielt ebenfalls auf die Überwachung der 
Nutzerinnen und Nutzer (vgl. heise online 29. Mai 2013). 

Des Weiteren ist die neue Konsole mit einer Mikrofonsteuerung ausgestattet, 
welche jederzeit auf ein bestimmtes Kommando reagiert und das Gerät darauf- 
hin automatisch einschaltet. Laut Microsoft erkennt das Mikrofon im Stand-by- 
Modus nur die speziellen Signalworte und diese werden einzig lokal im Gerät 
aufgezeichnet. Jedoch muss nach Microsoft- Angaben das Gerät mindestens alle 
24 Stunden einmal mit dem Internet verbunden sein, um mit dem Microsoft-Ser- 
ver zu kommunizieren. Einzelne Softwareprodukte können gar eine permanente 
Intemetverbindung erfordern, so Microsoft weiter (vgl. GameStar Online 
23 . Mai 2013). Peter Schaar selbst relativiert die Vorstellung, dass Microsoft per 
Mikrofon die Wohnzimmer ausspioniert als „verdrehte Horrorvision“, bezeich- 
net die Konsole aber explizit als „Überwachungsgerät“, weil die Nutzerinnen 
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und Nutzer nicht kontrollieren können, welche Informationen über sie gespei- 
chert werden. Am 19. Juni 2013 reagierte Microsoft auf die weltweite Kritik. 
Der Präsident von Microsofts Unterhaltungssparte Don Mattrick erklärte, dass 
die Xbox One nun (vorerst) doch ohne DRM (DRM = Digital Rights Manage- 
ment), Regionalsperre und Onlinezwang auskommen werde. Allerdings müss- 
ten dafür einige angekündigte Funktionen weichen (vgl. www.news.xbox.com/ 
2013/06/update). Technisch scheinen die Überwachungsmöglichkeiten aber wei- 
ter zu bestehen, zumal Nutzer, wenn sie das volle Programm des „all-in-one 
entertainment System“ in Anspruch nehmen wollen, weiterhin Kinect inklusive 
einer ständigen Intemetverbindung in Kauf nehmen müssen. 

Zudem zeigt die Erfahrung, dass die Fremdeinwirkung Dritter in das Serversys- 
tem einer Konsole ein signifikantes Sicherheitsproblem darstellt. So gelang es, 
durch sogenannte Cyberangriffe in das Playstation Network der Playstation 3 
von Sony im Jahr 2011 einzudringen, und sensible Kundendaten zu entwenden, 
die später sogar öffentlich im Internet verbreitet wurden (vgl. SPIEGEL 
ONLINE 27. April 2011). Ein ähnliches Szenario wäre auch bei der neuen Xbox 
denkbar, bloß das dort die Folgen für die Privatsphäre der Nutzerinnen und Nut- 
zer bedeutend schwerwiegender wären. 

Die neue Xbox ist allerdings nur ein Beispiel für eine Vielzahl von Endgeräten 
einer neuen Konsolengeneration, die mit ähnlichen technischen Fähigkeiten 
ausgestattet sind. 


Vorbemerkung der Bundesregierung 

Der Bundesregierung sind Presseberichte bekannt, in denen potenzielle tech- 
nische Merkmale der Microsoft-Spielekonsole „Xbox One“ dargestellt werden. 
Gegenwärtig ist jedoch ungewiss, mit welchen Merkmalen das Gerät tatsächlich 
in den Handel kommt. Dies verdeutlicht die Mitteilung von Microsoft, wonach 
die „Xbox One“ zunächst angekündigte bestimmte technische Merkmale und 
Funktionen nicht enthalten werde. Eine Aussage zu technischen Merkmalen und 
Funktionen der „Xbox One“ und deren rechtlicher Bewertung wäre daher rein 
spekulativ. Darüber hinaus sind für die Überwachung der Einhaltung daten- 
schutzrechtlicher Regelungen durch nichtöffentliche Stellen grundsätzlich die 
Datenschutzaufsichtsbehörden der Länder zuständig. 


1 . Hat die Bundesregiemng Kenntnis von der in der Vorbemerkung der Frage- 
steller dargestellten Problematik, und wie bewertet sie die aktuellen Ent- 
wieklungen von potenziellen Einschränkungen der Privatsphäre bei moder- 
nen Spielekonsolen? 

Der Bundesregierung liegen außer den entsprechenden Presseberichten und den 
Angaben auf der Intemetseite von Microsoft keine weiteren Informationen über 
die geplante Spielekonsole „Xbox One“ oder sonstige moderne Spielekonsolen 
vor. Die Bundesregierung begrüßt jedoch im Zusammenhang mit der „Xbox 
One“ die von Microsoft gegenüber der Presse erfolgte Aussage, dass das Thema 
Datenschutz höchste Priorität habe. 


2. Verstößt die Sammlung von personenbezogenen oder personenbeziehbaren 
Daten auf externen Servern solcher Spielekonsolen nach Meinung der Bun- 
desregierung gegen 

a) das deutsche Datenschutzrecht, 

b) das europäische Datenschutzrecht (bitte jeweils begründen)? 

Die Verarbeitung personenbezogener Daten ist in Deutschland nur unter Einhal- 
tung des deutschen und europäischen Datenschutzrechts zulässig. Die Bundes- 
regierung geht davon aus, dass beim Verkauf und Betrieb der geplanten Spiele- 
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konsole die einschlägigen Vorschriften eingehalten und somit die Grundrechte 
der Bürgerinnen und Bürger geachtet werden. Die Sammlung von personen- 
bezogenen Daten auf externen Servern im Zusammenhang mit Spielekonsolen 
verstößt nicht per se gegen geltendes Recht. Aufgrund mangelnder Kenntnis der 
beabsichtigten technischen Merkmale und Funktionen ist eine abschließende 
rechtliche Beurteilung nicht möglich. 


3. Sieht die Bundesregierung einen Verstoß gegen das Grundrecht auf Unver- 
letzlichkeit der Wohnung, wenn personenbezogene oder personenbeziehbare 
Daten aus der Wohnung von Nutzerinnen und Nutzer durch Spielekonsolen 
aufgezeichnet und weitergegeben werden (bitte begründen)? 

Auf die Antwort zu Frage 2 wird verwiesen. 


4. Sind nach Auffassung der Bundesregierang die Bestimmungen zu einer in- 
formierten und freiwilligen Einwilligung weiterhin ausreichend, wenn die 
Nutzerinnen und Nutzer solcher Spielekonsolen ihre Zustimmung zu den 
Allgemeinen Geschäftsbedingungen des Herstellers erklären, ohne dass sie 
kontrollieren können, welche Informationen über sie gespeichert und weiter- 
gegeben werden? 

Personenbezogene Daten dürfen ohne eine ausdrückliche gesetzliche Erlaubnis 
nur mit Einwilligung des Betroffenen erhoben, verarbeitet und genutzt werden. 
Nach § 4a des Bundesdatenschutzgesetzes ist die Einwilligung nur wirksam, 
wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist 
daher auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung 
hinzuweisen. Im Übrigen wird auf die Antwort zu Frage 2 verwiesen. 


5. Sind nach Auffassung der Bundesregierung die Bestimmungen des Safe 
Harbor- Abkommens ausreichend, um einen Missbrauch solcher Dienste zu 
unterbinden und die Sicherheit der Serverarchitektur von Microsoft zu ge- 
währleisten? 

Das Safe Harbor-Abkommen ist eine zwischen der Europäischen Union (EU) 
und den USA im Jahre 2000 getroffene Vereinbarung, die gewährleistet, dass 
personenbezogene Daten von EU-Untemehmen rechtmäßig an US-Untemeh- 
men übermittelt werden köimen. Den rechtlichen Hintergrund für diese Verein- 
barung bildet die geltende europäische Datenschutzrichtlinie. Danach ist der 
Transfer von personenbezogenen Daten in einen Drittstaat nur erlaubt, wenn der 
Drittstaat über ein dem EU-Recht vergleichbares Datenschutzniveau verfügt 
oder die Europäische Kommission feststellt, dass ein Drittstaat aufgrund ent- 
sprechender Verpflichtungen der für die Datenverarbeitung Verantwortlichen 
ein angemessenes Schutzniveau gewährleistet. Auf Basis des von der Euro- 
päischen Kommission beschlossenen Safe Harbor-Abkommens können sich 
US -Unternehmen verpflichten, bestimmte datenschutzrechtliche Standards 
einzuhalten, so dass ein rechtmäßiger Datentransfer von EU-Untemehmen an 
US -Unternehmen möglich ist. Unter anderem verlangen die Gmndsätze von den 
teilnehmenden Unternehmen, die personenbezogene Daten verarbeiten, dass sie 
angemessene Sicherheitsvorkehrungen treffen, um personenbezogene Daten 
z. B. vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen. Das Unter- 
nehmen Microsoft nimmt an Safe Harbor teil. Demnach liegt eine Selbstzertifi- 
ziemng vor, deren Einhaltung von der Federal Trade Commission beaufsichtigt 
wird. Damit sind Datentransfers auf Server, die von Microsoft in den USA be- 
trieben werden, rechtlich gmndsätzlich nicht zu beanstanden, da im Wege des 
Safe Harbor-Abkommens ein im Verhältnis zu den EU-Datenschutzbestimmun- 
gen angemessenes Datenschutzniveau gewährleistet ist. 
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Rechtliche Regelungen und Abkommen können jedoch kriminelle und miss- 
bräuchliche Cyberangriffe von Dritten nicht immer verhindern. Die Serverarchi- 
tektur von Microsoft und deren technische Sicherheit gegenüber Cyberangriffen 
sind der Bundesregierung nicht bekannt. 


6. Sieht die Bundesregierung gesetzgeberischen Handlungsbedarf, um im Be- 
reich der digitalen Consumer Electronics das Sammeln, Zusammenfuhren 
und Rastern von personenbezogenen oder personenbeziehbaren Daten zu 
verknüpften Profilen zu unterbinden oder Mindeststandards zu unterwerfen? 

Wenn ja, 

a) wann wird die Bundesregierung entsprechend handeln, und 

b) in welcher Form könnte dies geschehen? 

Wenn nein, wamm nicht? 

Die Bundesregierung sieht hinsichtlich der digitalen Unterhaltungselektronik 
zum gegenwärtigen Zeitpunkt keinen Handlungsbedarf. Internetangebote, mit 
denen Spielekonsolen kommunizieren, unterliegen insbesondere dem Tele- 
mediengesetz (TMG), welches die Verwendung von Nutzungsdaten ohne Ein- 
willigung nur unter sehr engen Voraussetzungen erlaubt. 

Die Bundesregiemng setzt sich jedoch im Rahmen der Reform des EU-Daten- 
schutzrechts für enge Regelungen bei der Verknüpfung von personenbezogenen 
Daten ein, die bei der Nutzung von Diensten der Informationsgesellschaft ent- 
stehen. Für eine Profilbildung soll der geltende deutsche Schutzstandard nach 
dem Telemediengesetz und dem Bundesdatenschutzgesetz nicht unterschritten 
werden. Ebenso setzt sich die Bundesregierung bei den Verhandlungen der 
EU-Datenschutz-Grundverordnung dafür ein, das Prinzip der datenschutz- 
freundlichen Voreinstellung (privacy by default) und das Prinzip des Daten- 
schutzes durch Technik (privacy by design) zu verankern. 


7. Sieht die Bundesregierang, aufgrund der Tatsache, dass ein Großteil der Nut- 
zerinnen und Nutzer von Spielekonsolen Minderjährige sind, besonderen 
Handlungsbedarf? 

Wenn ja, in welcher Form? 

Wenn nein, warum nicht? 

Die Bundesregierung misst dem Schutz von Kindern und Jugendlichen beson- 
dere Bedeutung bei. Sie setzt sich in den Verhandlungen zur EU-Datenschutz- 
Grundverordnung im Rat dafür ein, dass auf europäischer Ebene sachgerecht be- 
sondere Regelungen mit einem hohen Schutzniveau für Kinder und Jugendliche 
verankert werden. 


8 . Kann die Bundesregierung ausschließen, dass persönliche Daten von Nutzem 
in der Bundesrepublik Deutschland auf Xbox-One-Servem von Microsoft, 
künftig im Rahmen von PRISM oder anderen Überwachungsprogrammen 
von Geheimdiensten der USA oder anderer Staaten genutzt werden könnten? 

Wenn ja, wieso? 

Nein. Geheimdienste anderer Staaten unterliegen nicht der Kontrolle der Bun- 
desregierung. 
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